Le chiffrement n'est pas négociable : lettre ouverte à l'UE pour qu'elle ne porte pas atteinte à la vie privée.

Aujourd’hui, une coalition de 55 associations professionnelles, de médias, d’organisations de défense des droits de l’homme, de syndicats et d’entreprises technologiques a publié une lettre commune exhortant les ministres de l’UE à adopter un programme de sécurité numérique qui promeuve les droits fondamentaux et soutienne un écosystème numérique sûr. La lettre exprime des inquiétudes quant aux recommandations du Groupe de haut niveau (GHN) sur l’élargissement de l’accès des forces de l’ordre aux données personnelles, craignant qu’elles ne conduisent à une surveillance de masse et ne portent atteinte à la vie privée.

Matthias Pfau, PDG de Tuta, prévient que si l’UE continue dans cette voie, elle risque de perdre des entreprises innovantes et soucieuses de la protection de la vie privée, ainsi que la confiance de ses citoyens :

“Si l’UE continue à s’attaquer au chiffrement, il sera impossible pour des entreprises comme Tuta Mail d’opérer à l’intérieur de ses frontières. Chez Tuta, nous nous battons pour le droit de chacun à la vie privée grâce au cryptage, et nous continuerons à le faire ! Si l’UE tente de nous arrêter, nous préférerons nous délocaliser plutôt que d’affaiblir notre cryptage à sécurité quantique. L’UE risque de perdre des entreprises innovantes et soucieuses de la protection de la vie privée, et avec elles, la confiance de ses citoyens”, déclare Matthias Pfau, PDG de Tuta Mail.

L’affaiblissement du chiffrement constitue un risque sérieux pour la sécurité numérique, comme l’ont montré les récentes cyberattaques menées par des attaquants soutenus par l’État chinois contre des fournisseurs de télécommunications américains. Cette récente faille de sécurité aux États-Unis souligne l’importance d’un chiffrement robuste. L’UE doit repenser son approche, car l’affaiblissement du chiffrement n’est pas seulement un choix politique, c’est une menace pour la sécurité de tous. Le chiffrement est le fondement d’une communication numérique sûre et fiable. Compromettre cette base ouvre la porte aux acteurs malveillants, menaçant la sécurité des citoyens, des entreprises et des gouvernements.

Alors que les autorités américaines, à la suite de l’attaque de l’infrastructure numérique des États-Unis par la Chine, recommandent de plus en plus l’utilisation d’outils de communication cryptés de bout en bout, l’Union européenne va dans la direction opposée en discutant de politiques qui affaibliraient le cryptage et priveraient tout un chacun de sa vie privée numérique. Un chiffrement fort est essentiel pour se protéger contre les diverses menaces en ligne, et l’UE doit donner la priorité à une sécurité et à une protection de la vie privée solides plutôt qu’à des politiques qui créent des vulnérabilités systémiques.

Les portes dérobées au chiffrement ne sont jamais une option, car les acteurs malveillants en abuseront.

Points clés de la lettre ouverte

• Respect des droits fondamentaux : La lettre s’oppose à des mesures telles que “l’accès légal dès la conception”, qui pourraient conduire à l’affaiblissement des systèmes de chiffrement et de sécurité numérique, compromettant ainsi les données personnelles et les communications. Elle souligne la nécessité de respecter le droit à la vie privée et d’éviter d’affaiblir le chiffrement, qui est essentiel pour garantir la sécurité et la liberté des personnes.

• Vie privée et secret professionnel : La lettre souligne que les mesures permettant un accès illimité aux services répressifs pourraient compromettre la confidentialité des communications, y compris celles qui sont protégées par le secret professionnel, comme celles entre les médecins et leurs patients, les journalistes et leurs sources, et les avocats et leurs clients. Ces protections sont essentielles pour préserver d’autres droits fondamentaux tels que la liberté de parole et la liberté d’expression.

• Sécurité de l’écosystème numérique : La lettre met en garde contre le fait que la proposition du groupe de haut niveau pourrait saper le solide cadre de sécurité numérique de l’UE, tel que le GDPR, ce qui entraînerait un affaiblissement de l’écosystème numérique. Elle met en garde contre le fait d’obliger les fournisseurs de services à collecter des données inutiles ou à permettre l’interception, car cela dégraderait les systèmes de sécurité et créerait des vulnérabilités. Il est à craindre que la mise en place de portes dérobées pour les forces de l’ordre expose les systèmes à l’exploitation par des acteurs malveillants.

• Impact sur les entreprises de l’UE : La lettre souligne que des mesures d’application strictes et des sanctions pourraient nuire aux petits fournisseurs de services sécurisés, voire les évincer du marché. Cela aurait un impact négatif sur les ambitions de l’UE en matière de cybersécurité et sur sa capacité à fournir des services sécurisés.

Lisez la lettre dans son intégralité pour comprendre comment les décideurs politiques doivent trouver un équilibre entre les besoins en matière d’application de la loi et la protection des droits fondamentaux, sans compromettre la vie privée de chacun.

---

Lettre ouverte

Lettre commune demandant que l’agenda de l’UE en matière de sécurité numérique promeuve les droits fondamentaux et soutienne un écosystème numérique sûr

Mesdames et Messieurs les Ministres,

Nous, soussignés, associations professionnelles, organisations de médias et de défense des droits de l’homme, syndicats et entreprises technologiques, vous écrivons pour souligner la nécessité d’un programme européen de sécurité numérique qui garantisse la justice, la responsabilité et le respect des droits fondamentaux, et soutienne le développement d’un écosystème numérique sûr.

Dans ce contexte, nous souhaitons vous faire part de nos préoccupations concernant les recommandations et le rapport présentés par le Groupe de haut niveau (GHN) sur l’accès aux données pour une application efficace de la loi. À la lumière de l’objectif général du GHN d’accorder aux autorités répressives un accès maximal aux données personnelles, nous identifions des risques importants de surveillance de masse ainsi que des menaces substantielles pour la sécurité et la vie privée, si ces recommandations étaient prises comme base pour les futures politiques et législations de l’UE. Nous vous invitons donc à prendre en compte les recommandations suivantes lorsque vous définirez les priorités de l’UE dans ce domaine politique.

Respecter les droits fondamentaux et garantir la sécurité et la confidentialité des espaces numériques

Nous souhaitons mettre en garde contre l’octroi aux forces de l’ordre de capacités illimitées qui pourraient conduire à une surveillance de masse et violer les droits fondamentaux.

En particulier, nous sommes extrêmement préoccupés par le concept d‘“accès légal dès la conception” soutenu par le GHN, qui vise à intégrer l’accès des forces de l’ordre aux données dans le développement de toutes les technologies. En pratique, cela nécessiterait l’affaiblissement systémique de tous les systèmes de sécurité numérique, y compris, mais sans s’y limiter, le cryptage. Il en résulterait une atteinte à la sécurité et à la confidentialité des données et des communications électroniques, une mise en danger de la sécurité de tous et une atteinte grave aux droits fondamentaux des personnes. Ce concept va à l’encontre des recommandations établies de longue date par les organisations de défense des droits de l’homme, les experts en matière de protection des données et de cybersécurité, ainsi que de la jurisprudence de la Cour européenne des droits de l’homme (CEDH).

Nous recommandons donc d’écarter toute mesure susceptible de contourner les protections offertes par le chiffrement ou de les affaiblir, car elle créerait des menaces pour la sécurité et la vie privée de millions de personnes, d’institutions publiques et endommagerait inévitablement l’écosystème plus large de l’information numérique.

En outre, nous souhaitons rappeler que tout futur régime harmonisé de l’UE sur la conservation des données et l’accès à celles-ci doit respecter les exigences légales de nécessité et de proportionnalité définies dans le droit de l’UE et la jurisprudence bien établie de la Cour de justice de l’UE (CJUE) et de la Cour européenne des droits de l’homme (CEDH) pour la protection des droits fondamentaux contre la surveillance de masse. À cet égard, l’extension proposée de l’obligation de conservation des données à la quasi-totalité des services de la société de l’information, y compris l’internet des objets et les services basés sur l’internet, est particulièrement préoccupante, car elle exigerait la conservation non ciblée et indiscriminée de données à caractère personnel. Cette surveillance large et générale générerait dans l’esprit des gens le sentiment que leur vie privée fait l’objet d’une surveillance constante et ne peut être considérée comme conforme aux exigences susmentionnées.

Défendre le droit à la vie privée et l’inviolabilité des informations protégées

Si le droit à la vie privée et à la confidentialité des communications n’est pas absolu, toute ingérence dans les droits fondamentaux doit être conforme aux principes de légalité, de stricte nécessité et de proportionnalité. La conservation générale et indiscriminée de données à caractère personnel permettant de créer des profils détaillés de l’individu et les mesures portant atteinte à la sécurité de toutes les communications privées ne répondent pas à ces principes.

Ces mesures générales et indiscriminées affectent également les personnes dont les communications sont soumises au secret professionnel, telles que les médecins et leurs patients, les journalistes et leurs sources, les avocats et les travailleurs sociaux et leurs clients. La protection juridique accordée à ces communications est une garantie sine qua non pour l’exercice effectif d’autres droits fondamentaux, notamment le droit à un procès équitable et à la défense, la liberté d’expression et d’information, y compris la liberté des médias et de la presse, la liberté de pensée et de religion, la liberté de réunion et d’association, ainsi que les droits à l’assistance sociale et aux soins de santé.

Nous craignons que les pouvoirs étendus envisagés pour permettre aux forces de l’ordre d’accéder aux données ne portent atteinte à la confidentialité des communications protégées et aux droits fondamentaux connexes. Ces mesures risquent d’être utilisées abusivement pour cibler les journalistes, les défenseurs des droits de l’homme, les avocats, les activistes et les dissidents politiques. Il est essentiel que l’UE garantisse l’inviolabilité des données et autres éléments de preuve relevant du principe du secret professionnel.

Soutenir un écosystème numérique sûr, fiable et diversifié

Les fabricants d’appareils et les fournisseurs de services responsables ont investi des ressources considérables pour améliorer la sécurité de leurs appareils et la fiabilité de leurs services. Ces innovations répondent non seulement aux exigences d’utilisateurs de plus en plus soucieux de leur vie privée, mais aussi à celles des autorités réglementaires chargées de faire respecter des normes élevées dans les domaines de la cybersécurité et de la protection des données. L’UE dispose d’un avantage unique grâce à un cadre de protection des données qui établit une norme juridique élevée pour protéger les droits et libertés fondamentaux des personnes dans un monde où la vie privée fait l’objet d’attaques constantes.

Malheureusement, la vision du GHN pourrait compromettre la capacité des Européens à choisir des outils numériques fiables à l’avenir. Il recommande de fixer des obligations étendues, et parfois contradictoires, aux opérateurs. Il s’agit notamment de les forcer à collecter et à conserver plus de données utilisateur que ce qui est nécessaire pour fournir leurs services, à permettre l’interception en temps réel et à fournir des données décryptées aux forces de l’ordre, tout en évitant de compromettre la sécurité de leurs systèmes. Malgré l’intention du GHN de ne pas porter atteinte à la sécurité numérique, il n’existe en réalité aucun moyen technique de rompre la promesse du chiffrement de bout en bout sans affaiblir la sécurité des systèmes de communication. Une porte dérobée - ou tout autre mécanisme de contournement - destinée aux forces de l’ordre peut toujours être exploitée par d’autres acteurs, comme l’ont montré de nombreux exemples.

Enfin, le GHN présente également un cadre d’application inquiétant, comprenant des sanctions sévères pour dissuader et punir le non-respect des obligations de l’UE et des ordonnances d’application de la loi (sanctions administratives, interdiction commerciale, peines d’emprisonnement). Nous voyons ici le risque de voir des opérateurs fiables offrant des services sécurisés se retirer du marché de l’UE ou cesser leurs activités s’ils sont de petite taille ou à but non lucratif, ou de les empêcher de développer des solutions sécurisées s’ils sont établis dans l’UE. Il va sans dire que cela serait très préjudiciable aux initiatives et aux ambitions de l’UE en matière de cybersécurité.

Nous comprenons que les mesures d’enquête dont disposent les services répressifs doivent être adaptées à l’ère numérique et efficaces pour relever les défis uniques créés par les services en ligne transfrontaliers. Toutefois, l’efficacité ne doit pas se faire au détriment des droits fondamentaux, des garanties juridiques et de l’économie européenne. Nous sommes convaincus que ces objectifs d’intérêt général peuvent être atteints par des mesures moins intrusives que la surveillance de masse et l’affaiblissement systémique des garanties de sécurité essentielles.

Nous vous remercions par avance de votre attention et restons à votre disposition pour toute question.

Nous vous prions d’agréer, Monsieur le Président, l’expression de nos salutations distinguées,

Access Now

ARTICLE 19, International

Association des journalistes européens, Belgique (AEJ Belgique)

Bits of Freedom, Pays-Bas

Bolo Bhi, Pakistan

Centre pour la démocratie et la technologie Europe (CDT Europe)

Chaos Computer Club (CCC), Allemagne

Union des libertés civiles pour l’Europe (Liberties)

Comité pour la protection des journalistes (CPJ)

Community Media Forum Europe (CMFE)

Conseil des barreaux européens (CCBE)

Cryptee, Estonie

D3 - Defesa dos DIreitos Digitais, Portugal

Danes je nov dan, Slovénie

Datenpunks, Allemagne

Deutsche Vereinigung für Datenschutz e.V. (DVD), Allemagne

Deutscher Anwaltverein (Association allemande des avocats)

Digital Rights Ireland

Digitale Gesellschaft, Allemagne

Digitale Gesellschaft, Suisse

eco - Verband der Internetwirtschaft e.V. (Association de l’économie de l’Internet)

Electronic Frontier Foundation (EFF), International

Electronic Privacy Information Center (EPIC), États-Unis d’Amérique

Element

Epicenter.works - pour les droits numériques, Autriche

Eurocadres

EuroISPA - Association européenne des fournisseurs de services Internet

Union européenne de radio-télévision (UER)

Droits numériques européens (EDRi)

Fédération européenne des journalistes (FEJ)

Association européenne des médias magazines (EMMA)

Association européenne des éditeurs de journaux (ENPA)

Conseil des éditeurs européens (EPC)

Forum mondial pour le développement des médias (FMMD)

Initiative pour un réseau mondial (GNI)

Initiative Heartland

IFEX

Initiative für Netzfreiheit, Autriche

IT-Pol, Danemark

La Quadrature du Net, France

Ligue des droits humains, Belgique

Mailfence, Belgique

Association maltaise du droit des technologies de l’information (MITLA)

News Media Europe (NME)

Nextcloud GmbH, Allemagne

Fondation Panoptykon, Pologne

Politiscope, Croatie

Privacy International

Proton, Suisse

SHARE Foundation, Serbie

Organisation des médias de l’Europe du Sud-Est (SEEMO)

Statewatch, International

Tech Global Institute

Tuta Mail, Allemagne

Fondation Wikimedia